Spring til indhold
ISMS.online

ISMS.online blog

Overholdelse betyder noget

Holder dig opdateret om verden af ​​informationssikkerhed og compliance.

WP_Post-objekt ([ID] => 136381 [post_author] => 43 [post_date] => 2026-01-13 09:00:33 [post_date_gmt] => 2026-01-13 09:00:33 [post_content] => Panikken fra januar 2025 er for alvor overstået. Men for finanssektorens mest succesrige ledere er det virkelige arbejde, og den virkelige belønning, kun lige begyndt. Vi undersøger, hvordan Digital Operational Resilience Act har ændret samtalen fra "undgå bøder" til "beskytte indtægter".Mens mange betragtede Digital Operational Resilience Act (DORA) som en compliance-byrde, har de sidste tolv måneder afsløret dens sande funktion: det er en skabelon for oppetid. Vi ser nu håndgribelige beviser på, at de specifikke mekanismer, som DORA håndhæver, nemlig grundig digital testning og dybdegående forsyningskædekortlægning, gør mere end at tilfredsstille tilsynsmyndighederne. De forhindrer indtægtsdræbende afbrydelser. For at forstå hvorfor, er vi nødt til at se på det kulturelle skift, der fandt sted i bestyrelseslokalet.

De afbrydelser, der ikke skete

Det er svært at tro, at der er gået et helt år siden deadline den 17. januar. Tænk tilbage på slutningen af ​​2024: de hektiske gap-analyser, de sene nætter med granskning af IKT-tredjepartskontrakter og kampen for at kortlægge kritiske funktioner. For mange var det målstregen. Men for "vinderne" af 2025 var det startskuddet til en ny æra af aktivt forsvar. "Mange organisationer ser DORA udelukkende som en regulatorisk hindring," siger Chris Newton-Smith, administrerende direktør for ISMS.online. "Men det mest kritiske skift, virksomheder bør foretage, er at stille de rigtige spørgsmål om deres compliance. Alt for mange fokuserer på 'Er vi compliante?'" når det mere værdifulde spørgsmål er: "Hjælper vores compliance os faktisk med at fortsætte driften, når noget går galt?" Som Newton-Smith bemærker, når man ændrer tankegangen, "holder compliance meget hurtigt op med at være en øvelse i at afkrydse reglerne og begynder aktivt at beskytte organisationen." Måske har den mest betydningsfulde effekt af DORA været de "usynlige sejre", de afbrydelser, der aldrig fandt sted. For at forstå omfanget af dette skift er vi nødt til at se på branchens tankegang, lige da reglerne trådte i kraft. Etienne Bouet, Senior Manager hos konsulentfirmaet Wavestone, advarede i januar 2025, at branchen risikerede at gå glip af pointen, hvis de kun fokuserede på papirarbejdet. "DORA bør ikke blot ses som en compliance-øvelse," bemærkede Bouet dengang. "Ja, der er lovgivningsmæssige krav, der skal opfyldes, men den virkelige udfordring ligger i at opbygge modstandsdygtighed ... compliance alene er utilstrækkelig, hvis den ikke kommer med reelle forbedringer i modstandsdygtighed." De, der fulgte dette råd, høster nu frugterne. I de sidste tolv måneder har vi set organisationer gå fra at have et "papirskjold", politikker, der siger, at de er sikre, til en "Iron Dome" af aktivt forsvar. Dette var ikke valgfrit. DORA-kravet om at demonstrere, hvordan man ville komme sig efter en alvorlig IKT-forstyrrelse, tvang teams til at teste deres teorier. Resultatet er et landskab af systemer, der rent faktisk kommer sig. Da mindre cloudkonfigurationsfejl ramte betalingsbehandlere tidligere på året, gik de DORA-kompatible banker ikke i mørke. Deres redundansprotokoller, der blev testet og forfinet under DORA's søjle med digital operationel modstandsdygtighedstestning, trådte automatisk i kraft.

En ny æra af modenhed

Dette skift markerer en modning af branchen. I årevis var især FinTech-sektoren præget af hurtig vækst, ofte på bekostning af stabilitet. DORA har effektivt fremtvunget en "voksen" samtale om risiko. I midten af ​​2025 var belastningen af ​​denne overgang synlig. Folketælling i hele undersøgelse En rapport, der blev offentliggjort i juli 2025, afslørede, at 96 % af EMEA-finansorganisationerne seks måneder efter indførelsen af ​​ordningen stadig følte, at deres datarobusthed "ikke var, hvor den skulle være". Denne statistik fremhæver en kløft i markedet. På den ene side var der de 96 %, der kæmpede med at modernisere robusthed i ældre systemer. På den anden side var der de agile "vindere", der brugte DORA som en skabelon til at modernisere deres arkitektur. For vinderne er det "slut på at bevæge sig hurtigt og ødelægge ting", som bestyrelsen nu er optaget af. Når sikkerhedsledere præsenterer årsrapporter, oplister de ikke længere kun compliance-status. De oplister den anslåede omsætning, der blev sparet, fordi systemerne holdt sig oppe, når konkurrenterne ikke gjorde det.

Forsyningskæde: Sammenkoblingens "puslespil"

Hvis 2024 var året for "tillidsfulde" leverandører, har 2025 og 2026 været årene med overvågning af dem. Afhængigheden af ​​tredjeparter har altid været en kendt risiko, men DORA tvang organisationer til at kvantificere den. Olaf Jonkers, Chief Internal Security Officer hos den digitale identitetsplatform itsme, fremhævede dette skift i ansvarlighed tilbage i februar 2025. "DORA sikrer, at IKT-udbydere, der leverer tjenester til FSI'er, holdes tilstrækkeligt ansvarlige for at opretholde en stærk intern styring," sagde Jonkers. forklarede"Dette er meget vigtigt, fordi FSI'ers voksende afhængighed af IKT-udbydere betyder, at et systemnedbrud eller et brud pludselig kan reducere driften til en lille brøkdel." DORA's fokus på IKT-tredjepartsrisikostyring (TPRM) tvang organisationer til at kortlægge disse afhængigheder. Sikkerhedsteams opdagede sandsynligvis, at en "kritisk" funktion var afhængig af en leverandør, der var afhængig af en anden leverandør, der ikke havde nogen backupplan. Den indledende kortlægning var smertefuld. Men den operationelle fordel har været enorm. Vi er ikke længere overrumplet af fjerdepartsfejl. Tidligere var et leverandørnedbrud en gyldig undskyldning: "Det er ikke vores skyld, det er cloududbyderen." Den undskyldning går ikke længere godt hos kunderne, og bestemt ikke hos tilsynsmyndighederne. På grund af DORA er exitstrategier og opsætning af flere leverandører til kritiske funktioner nu standardpraksis.

Compliance som værdiskaber

Faren i denne verden efter deadlines er selvtilfredshed. Risikolandskabet ændrer sig dagligt; hvis dokumentation af modstandsdygtighed er statisk, er en organisation allerede ikke-compliant. Vi har set mange teams kæmpe i løbet af det sidste år, fordi de behandlede DORA som et "one-and-done"-projekt. De byggede deres informationsregister i Excel, arkiverede det og har ikke kigget på det siden. Disse data er nu forældede. "Prioriteten er at holde compliance 'levende' og operationel," råder Newton-Smith. "Vi ser, at rammer som DORA leverer mest værdi for virksomheder, når deres ledelse har et realtidsbillede af compliance... Det betyder, at virksomheder skal bevæge sig ud over statiske dokumenter og manuel sporing hen imod værktøjer, der tilbyder kontinuerlig overvågning." Det er ikke længere muligt at styre dynamisk operationel modstandsdygtighed med statiske værktøjer. Sikkerhedsledere har brug for et "live"-billede af risiko. Hvis en nøgleleverandørs sikkerhedscertifikat udløber, bør risikoregisteret opdateres med det samme.

Modstandsdygtighed er indtægter

"Frygt, usikkerhed og tvivl" (FUD)-æraen inden for salg af cybersikkerhed er forbi. DORA har skubbet branchen ind i en æra med modstandsdygtighed som en værdidriver. De organisationer, der vinder i 2026, vil ikke være dem, der lige akkurat "skrabbede sig igennem" sidste januar. Det er dem, der brugte rammeværket til at styrke deres drift. De oplever færre nedetidhændelser, styrer leverandørrisici proaktivt og sover bedre om natten, velvidende at deres genopretningsplaner rent faktisk virker. For at forstå den sande værdi af dette skift bør ledere se tilbage på deres hændelseslogfiler for de sidste seks måneder. Ved at identificere "nærved-hændelser", der blev fanget af de kontroller, der blev implementeret for DORA, og beregne de potentielle omkostninger, hvis disse hændelser havde eskaleret til fulde nedbrud, bliver den økonomiske virkelighed tydelig. Dette tal, omkostningerne ved den katastrofe, der ikke indtraf, er den sande værdi af compliance. Deadline er forbi, men stabilitetens æra er her for dem med værktøjerne til at nyde den. [post_title] => Livet efter deadline: At gøre DORA-compliance til operationel stabilitet [post_excerpt] => [post_status] => udgive [comment_status] => lukket [ping_status] => åben [post_password] => [post_name] => liv-efter-deadline-at-gøre-dora-compliance-til-operationel-stabilitet [to_ping] => [pinged] => [post_modified] => 2026-01-12 11:57:20 [post_modified_gmt] => 2026-01-12 11:57:20 [post_content_filtered] => [post_parent] => 0 [guid] => https://da.isms.online/?p=136381 [menu_order] => 0 [post_type] => indlæg [post_mime_type] => [comment_count] => 0 [filter] => raw )
WP_Post-objekt ([ID] => 136381 [post_author] => 43 [post_date] => 2026-01-13 09:00:33 [post_date_gmt] => 2026-01-13 09:00:33 [post_content] => Panikken fra januar 2025 er for alvor overstået. Men for finanssektorens mest succesrige ledere er det virkelige arbejde, og den virkelige belønning, kun lige begyndt. Vi undersøger, hvordan Digital Operational Resilience Act har ændret samtalen fra "undgå bøder" til "beskytte indtægter".Mens mange betragtede Digital Operational Resilience Act (DORA) som en compliance-byrde, har de sidste tolv måneder afsløret dens sande funktion: det er en skabelon for oppetid. Vi ser nu håndgribelige beviser på, at de specifikke mekanismer, som DORA håndhæver, nemlig grundig digital testning og dybdegående forsyningskædekortlægning, gør mere end at tilfredsstille tilsynsmyndighederne. De forhindrer indtægtsdræbende afbrydelser. For at forstå hvorfor, er vi nødt til at se på det kulturelle skift, der fandt sted i bestyrelseslokalet.

De afbrydelser, der ikke skete

Det er svært at tro, at der er gået et helt år siden deadline den 17. januar. Tænk tilbage på slutningen af ​​2024: de hektiske gap-analyser, de sene nætter med granskning af IKT-tredjepartskontrakter og kampen for at kortlægge kritiske funktioner. For mange var det målstregen. Men for "vinderne" af 2025 var det startskuddet til en ny æra af aktivt forsvar. "Mange organisationer ser DORA udelukkende som en regulatorisk hindring," siger Chris Newton-Smith, administrerende direktør for ISMS.online. "Men det mest kritiske skift, virksomheder bør foretage, er at stille de rigtige spørgsmål om deres compliance. Alt for mange fokuserer på 'Er vi compliante?'" når det mere værdifulde spørgsmål er: "Hjælper vores compliance os faktisk med at fortsætte driften, når noget går galt?" Som Newton-Smith bemærker, når man ændrer tankegangen, "holder compliance meget hurtigt op med at være en øvelse i at afkrydse reglerne og begynder aktivt at beskytte organisationen." Måske har den mest betydningsfulde effekt af DORA været de "usynlige sejre", de afbrydelser, der aldrig fandt sted. For at forstå omfanget af dette skift er vi nødt til at se på branchens tankegang, lige da reglerne trådte i kraft. Etienne Bouet, Senior Manager hos konsulentfirmaet Wavestone, advarede i januar 2025, at branchen risikerede at gå glip af pointen, hvis de kun fokuserede på papirarbejdet. "DORA bør ikke blot ses som en compliance-øvelse," bemærkede Bouet dengang. "Ja, der er lovgivningsmæssige krav, der skal opfyldes, men den virkelige udfordring ligger i at opbygge modstandsdygtighed ... compliance alene er utilstrækkelig, hvis den ikke kommer med reelle forbedringer i modstandsdygtighed." De, der fulgte dette råd, høster nu frugterne. I de sidste tolv måneder har vi set organisationer gå fra at have et "papirskjold", politikker, der siger, at de er sikre, til en "Iron Dome" af aktivt forsvar. Dette var ikke valgfrit. DORA-kravet om at demonstrere, hvordan man ville komme sig efter en alvorlig IKT-forstyrrelse, tvang teams til at teste deres teorier. Resultatet er et landskab af systemer, der rent faktisk kommer sig. Da mindre cloudkonfigurationsfejl ramte betalingsbehandlere tidligere på året, gik de DORA-kompatible banker ikke i mørke. Deres redundansprotokoller, der blev testet og forfinet under DORA's søjle med digital operationel modstandsdygtighedstestning, trådte automatisk i kraft.

En ny æra af modenhed

Dette skift markerer en modning af branchen. I årevis var især FinTech-sektoren præget af hurtig vækst, ofte på bekostning af stabilitet. DORA har effektivt fremtvunget en "voksen" samtale om risiko. I midten af ​​2025 var belastningen af ​​denne overgang synlig. Folketælling i hele undersøgelse En rapport, der blev offentliggjort i juli 2025, afslørede, at 96 % af EMEA-finansorganisationerne seks måneder efter indførelsen af ​​ordningen stadig følte, at deres datarobusthed "ikke var, hvor den skulle være". Denne statistik fremhæver en kløft i markedet. På den ene side var der de 96 %, der kæmpede med at modernisere robusthed i ældre systemer. På den anden side var der de agile "vindere", der brugte DORA som en skabelon til at modernisere deres arkitektur. For vinderne er det "slut på at bevæge sig hurtigt og ødelægge ting", som bestyrelsen nu er optaget af. Når sikkerhedsledere præsenterer årsrapporter, oplister de ikke længere kun compliance-status. De oplister den anslåede omsætning, der blev sparet, fordi systemerne holdt sig oppe, når konkurrenterne ikke gjorde det.

Forsyningskæde: Sammenkoblingens "puslespil"

Hvis 2024 var året for "tillidsfulde" leverandører, har 2025 og 2026 været årene med overvågning af dem. Afhængigheden af ​​tredjeparter har altid været en kendt risiko, men DORA tvang organisationer til at kvantificere den. Olaf Jonkers, Chief Internal Security Officer hos den digitale identitetsplatform itsme, fremhævede dette skift i ansvarlighed tilbage i februar 2025. "DORA sikrer, at IKT-udbydere, der leverer tjenester til FSI'er, holdes tilstrækkeligt ansvarlige for at opretholde en stærk intern styring," sagde Jonkers. forklarede"Dette er meget vigtigt, fordi FSI'ers voksende afhængighed af IKT-udbydere betyder, at et systemnedbrud eller et brud pludselig kan reducere driften til en lille brøkdel." DORA's fokus på IKT-tredjepartsrisikostyring (TPRM) tvang organisationer til at kortlægge disse afhængigheder. Sikkerhedsteams opdagede sandsynligvis, at en "kritisk" funktion var afhængig af en leverandør, der var afhængig af en anden leverandør, der ikke havde nogen backupplan. Den indledende kortlægning var smertefuld. Men den operationelle fordel har været enorm. Vi er ikke længere overrumplet af fjerdepartsfejl. Tidligere var et leverandørnedbrud en gyldig undskyldning: "Det er ikke vores skyld, det er cloududbyderen." Den undskyldning går ikke længere godt hos kunderne, og bestemt ikke hos tilsynsmyndighederne. På grund af DORA er exitstrategier og opsætning af flere leverandører til kritiske funktioner nu standardpraksis.

Compliance som værdiskaber

Faren i denne verden efter deadlines er selvtilfredshed. Risikolandskabet ændrer sig dagligt; hvis dokumentation af modstandsdygtighed er statisk, er en organisation allerede ikke-compliant. Vi har set mange teams kæmpe i løbet af det sidste år, fordi de behandlede DORA som et "one-and-done"-projekt. De byggede deres informationsregister i Excel, arkiverede det og har ikke kigget på det siden. Disse data er nu forældede. "Prioriteten er at holde compliance 'levende' og operationel," råder Newton-Smith. "Vi ser, at rammer som DORA leverer mest værdi for virksomheder, når deres ledelse har et realtidsbillede af compliance... Det betyder, at virksomheder skal bevæge sig ud over statiske dokumenter og manuel sporing hen imod værktøjer, der tilbyder kontinuerlig overvågning." Det er ikke længere muligt at styre dynamisk operationel modstandsdygtighed med statiske værktøjer. Sikkerhedsledere har brug for et "live"-billede af risiko. Hvis en nøgleleverandørs sikkerhedscertifikat udløber, bør risikoregisteret opdateres med det samme.

Modstandsdygtighed er indtægter

"Frygt, usikkerhed og tvivl" (FUD)-æraen inden for salg af cybersikkerhed er forbi. DORA har skubbet branchen ind i en æra med modstandsdygtighed som en værdidriver. De organisationer, der vinder i 2026, vil ikke være dem, der lige akkurat "skrabbede sig igennem" sidste januar. Det er dem, der brugte rammeværket til at styrke deres drift. De oplever færre nedetidhændelser, styrer leverandørrisici proaktivt og sover bedre om natten, velvidende at deres genopretningsplaner rent faktisk virker. For at forstå den sande værdi af dette skift bør ledere se tilbage på deres hændelseslogfiler for de sidste seks måneder. Ved at identificere "nærved-hændelser", der blev fanget af de kontroller, der blev implementeret for DORA, og beregne de potentielle omkostninger, hvis disse hændelser havde eskaleret til fulde nedbrud, bliver den økonomiske virkelighed tydelig. Dette tal, omkostningerne ved den katastrofe, der ikke indtraf, er den sande værdi af compliance. Deadline er forbi, men stabilitetens æra er her for dem med værktøjerne til at nyde den. [post_title] => Livet efter deadline: At gøre DORA-compliance til operationel stabilitet [post_excerpt] => [post_status] => udgive [comment_status] => lukket [ping_status] => åben [post_password] => [post_name] => liv-efter-deadline-at-gøre-dora-compliance-til-operationel-stabilitet [to_ping] => [pinged] => [post_modified] => 2026-01-12 11:57:20 [post_modified_gmt] => 2026-01-12 11:57:20 [post_content_filtered] => [post_parent] => 0 [guid] => https://da.isms.online/?p=136381 [menu_order] => 0 [post_type] => indlæg [post_mime_type] => [comment_count] => 0 [filter] => raw )

I rampelyset

Spotlight

Følg de historier, der har fanget vores opmærksomhed denne måned

Hold dig på forkant med overskrifterne med IO-nyhedsbrevet

Få en månedlig oversigt over alle oplysninger, nyheder om privatliv og cybersikkerhed direkte i din indbakke.

Tilmeld dig vores nyhedsbrev

Populære kategorier

Information Security Cyber ​​sikkerhed Datasikkerhed Databeskyttelse ISO 27001
Leder - Vinter 2026
Regional leder - Vinter 2026 Storbritannien
Regional leder - Vinter 2026 EU
Regional leder - Vinter 2026 Mellemmarked EU
Regional leder - Vinter 2026 EMEA
Regional leder - Vinter 2026 Mellemstor EMEA-marked
ISO 27001
ISO 27701
ISO 27001
ISO 27701
Cyber ​​Essentials
ISMS.online

Virksomhedsnummer: 04922343

Nile House, Nile Street, Brighton, England, BN1 1HW
Ophavsret © 2026 Alliantist Ltd